Worm.Win32.AutoRun.ogu分析报告.docVIP

1 ?网络蠕虫Worm.Win32.AutoRun.ogu网络蠕虫Worm.Win32.AutoRun.ogu捕获时间2009-7-7危害等级2病毒症状　　该样本是使用“VC”编写的网络蠕虫病毒，由微点主动防御软件自动捕获，该病毒采用“WinUpack”加壳方式，企图躲避特征码扫描，加壳后长度为“28,672 字节”，图标为“”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播，病毒主要目的为从网络下载大量病毒并运行。　　用户中毒后，会出现大多数杀毒软件失效或无故被关闭，操作系统自带部分工具无法使用，网络速度变缓，windows系统无故报错等现象。感染对象Windows 2000/Windows XP/Windows 2003传播途径网页木马、文件捆绑、下载器下载防范措施已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理（如图1）； 图1 微点主动防御软件自动捕获未知病毒（未升级） 如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现 Worm.Win32.AutoRun.ogu”，请直接选择删除（如图2）。 ? ?? ?? ? 图2? ?微点主动防御软件升级后截获已知病毒 未安装微点主动防御软件的手动解决办法：1、手工删除以下文件:%SystemRoot%\Fonts\isb.ini%TEMP%\dll4.tmp X:\GRIL.PIFX:\AUTORUN.INF??(X为任意盘符)2、手动删除以下注册表值：键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[所有劫持]键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lubb键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lvbasb键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nsppv　3、手动修复以下注册表键值：键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\advanced\folder\hidden\showall值: CheckedValue数据: 14、修复安全模式相关注册表　　变量声明：　　%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”　　%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”　　%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”　　%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”　　%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles” 病毒分析（1）设置自身为隐藏，获取AUTORUN.INF文件状态信息，如果找到则运行病毒，如果没有找到，则在下次启动后删除自身。（2）创建qq935623508互斥体，防止二次运行。提升自身权限，获得当前进程列表，查找是否有ekrn.exe和nod32krn.exe进程，如果找到，删除相关服务，结束相关进程（3）在%SystemDriver%目录下创建名为lov.dll的动态链接库文件，并设置自身为隐藏。（4）再次获取当前进程列表，查找是否有CCenter.exe进程，如果有，在%SystemRoot%\Fonts\目录下释放一个名为bssa.VBS的脚本文件，执行该脚本文件来加载动态链接库，如果没有发现CCenter.exe进程，则调用RUNDLL32.EXE来加载动态链接库，动态库会结束大量安全软件进程和删除相关安全软件服务。（5）创建新线程，释放名为dll4.tmp（文件名数字部分随机生成）的动态链接库文件到%TEMP%\目录下并加载，加载之后，病毒将网址的信息保存